Nghiên cứu giải pháp xác thực bảo mật trao đổi tài liệu môi trường mạng quan nhà nước Trịnh Xuân Hoàng Trường Đại học Khoa học Tự nhiên Luận văn ThS chuyên ngành: Bảo đảm tốn cho máy tính hệ thống tính tốn;Mã Mã số: 60 46 35 Người hướng dẫn: TS Tôn Quốc Bình Năm bảo vệ: 2012 Abstract: Nghiên cứu giải pháp xác thực bảo mật tài liệu trao đổi văn môi trường mạng quan nhà nước ứng dụng thành công tỉnh Thái Bình Thực trạng nhu cầu an tồn thông tin quan nhà nước; tiêu chuẩn, sở mật mã, giải pháp công nghệ; sở nghiên cứu giải pháp xác thực bảo mật trao đổi tài liệu môi trường mạng Keywords: Hệ thống tính tốn; Bảo mật tài liệu; Trao đổi văn Content MỞ ĐẦU Lý chọn đề tài Nhận thức lợi ích tầm quan trọng công nghệ thông tin truyền thông việc trì thúc đẩy phát triển bền vững, năm vừa qua lĩnh vực công nghệ thơng tin nói chung hoạt động ứng dụng cơng nghệ thơng tin nói riêng phát triển nhanh chóng, mạnh mẽ ngày sâu rộng mặt đời sống kinh tế xã hội Các hoạt động kể đến như: Các hoạt động thương mại điện tử; hoạt động hành cơng phổ biến gửi nhận thư điện tử, hệ thống hỗ trợ quản lý điều hành mạng Chính vấn đề thực tiễn trên, luận văn: “Nghiên cứu giải pháp xác thực bảo mật tài liệu trao đổi văn môi trường mạng quan nhà nước” nhằm nâng cao việc xác thực an tồn thơng tin hoạt động quan, tổ chức ứng dụng mơi trường mạng 2 Mục đích nghiên cứu Luận văn nghiên cứu giải pháp xác thực bảo mật tài liệu trao đổi văn môi trường mạng quan nhà nước ứng dụng thành cơng tỉnh Thái Bình Đối tượng phạm vi nghiên cứu Tập trung nghiên cứu, tìm hiểu thực trạng nhu cầu an tồn thơng tin quan nhà nước; tiêu chuẩn, sở mật mã, giải pháp cơng nghệ; sở nghiên cứu giải pháp xác thực bảo mật trao đổi tài liệu môi trường mạng Phương pháp nghiên cứu - Tiếp cận phân tích tổng hợp: Đọc tài liệu, tổng hợp lý thuyết, phân tích lý thuyết Hệ mật mã đối xứng, hệ mật mã bất đối xứng (hệ mật mã khóa cơng khai), chữ ký số - Tiếp cận theo định tính định lượng: Nghiên cứu sở khoa học mã hóa, chữ ký số tác giả ngồi nước, báo, thu thập thơng tin mạng, tìm hiểu mơ hình bảo mật, chứng số Từ trình bày theo ý tưởng đề xuất giải pháp xác thực bảo mật tài liệu trao đổi văn môi trường mạng quan nhà nước địa bàn Bố cục Luận văn Luận văn trình bày 03 chương: - Chương 1: Tập trung tìm hiểu số khái niệm án tồn thơng tin, đánh giá thực trạng nhu cầu an toàn thông tin quan nhà nước - Chương 2: Trình bày tổng hợp, phân tích số sở mật mã cần thiết để áp dụng việc bảo mật thông tin môi trường mạng - Chương 3: Tập trung phân tích thiết kế giải pháp xác thực bảo mật thông tin trao đổi tài liệu môi trường mạng Chương-1 1.1 TỔNG QUAN VỀ AN TỒN THƠNG TIN Một số khái niệm 1.1.1 Khái niệm an tồn thơng tin Thơng tin lưu trữ sản phẩm hệ thống CNTT tài nguyên quan trọng cho thành cơng tổ chức đó, tài sản cá nhân hay tổ chức Các thông tin cá nhân lưu trữ hệ thống thông tin cần giữ bí mật, bảo vệ khơng bị thay đổi không phép Trong sản phẩm hệ thống CNTT thực chức chúng, thơng tin cần kiểm sốt để đảm bảo chúng bảo vệ chống lại nguy cơ, ví dụ việc phổ biến thay đổi thông tin không mong muốn trái phép, nguy mát thơng tin 1.1.2 Khái niệm đảm bảo an tồn thơng tin Đảm bảo an tồn thơng tin đảm bảo an toàn kỹ thuật cho hoạt động sở hạ tầng thơng tin, bao gồm đảm bảo an toàn cho phần cứng phần mềm hoạt động theo tiêu chuẩn kỹ thuật nhà nước ban hành; ngăn ngừa khả lợi dụng mạng sở hạ tầng thông tin để thực hành vi trái phép gây hại cho cộng đồng, phạm pháp hay khủng bố; đảm bảo tính chất bí mật, tồn vẹn, xác, sẵn sàng phục vụ thông tin lưu trữ, xử lý truyền tải mạng 1.2 Thực trạng an tồn thơng tin quan nhà nước Theo thống kê Bkav, tính từ đầu năm 2012 đến nay, ngày có tới website Việt Nam bị công, tương ứng với 2.000 website bị hack năm Đã có 175 website quan, doanh nghiệp Việt Nam bị hacker xâm nhập, có 24 trường hợp gây hacker nước, 151 trường hợp hacker nước Hầu hết nguyên nhân vụ hack website tồn nhiều lỗ hổng 1.3 Nhu cầu an tồn thơng tin ứng dụng quan nhà nước Những thông tin cho thấy việc lựa chọn giải pháp đầu tư cho an toàn thông tin vấn đề cần quan nhà nước trọng đầu tư, bên cạnh việc hồn thiện hành lang sách pháp lý lĩnh vực để việc ứng dụng CNTT thực có hiệu 1.4 Một số kỹ thuật mật mã Kỹ thuật mật mã [1], [9] đóng vai trị thiết yếu việc giải vấn đề an toàn thông tin Bảng 1.1 liệt kê số kỹ thuật công nghệ để giải yêu cầu xác thực, tồn vẹn, bí mật, chống chối bỏ an tồn bảo mật thông tin Bảng 1.1 Một số kỹ thuật cơng nghệ giải u cầu an tồn bảo mật Yêu cầu Công nghệ - Kỹ thuật Bí mật Mã hóa giải mã dựa vào khóa Xác thực Sử dụng tên mật người dùng, đặc điểm sinh trắc học, ký số kiểm tra chữ ký số dựa vào khóa Tin cậy Ký số kiểm tra chữ ký số dựa vào khóa Chống chối bỏ Ký số kiểm tra chữ ký số dựa vào khóa Tồn vẹn Tóm lược thơng báo Trao quyền Áp dụng sách kiểm sốt truy nhập quản lý quyền hạn Kiểm toán Lưu nhật ký sử dụng cơng cụ kiểm tốn 1.4.1 Các hệ mật mã Hệ mật hệ thống cung cấp kỹ thuật mã hóa giải mã liệu, phân loại thành hệ mật khóa cơng khai hệ mật khóa đối xứng Hệ mật khóa đối xứng sử dụng khóa mã hóa giải mã, minh hoạ Hình 1.1 Độ an tồn hệ mật phụ thuộc vào bí mật khóa Hình 1.1 Hệ mật khóa đối xứng đảm bảo tính bí mật xác thực Hệ mật khóa cơng khai sử dụng cặp khóa (khóa riêng khóa cơng khai), khóa sử dụng để mã hóa khóa cịn lại sử dụng để giải mã, minh hoạ đây: Hình 1.2 Hệ mật khố cơng khai Mục đích hệ mật khóa cơng khai phân phối khóa ký số Các ứng dụng hệ mật gồm có: Mã hóa/giải mã, chữ ký , trao đổi khóa Các thuật tốn mật mã: - Tóm lược thơng báo (MD2-4-5, SHA, SHA1, SHA2,…): chuyển thơng báo rõ có độ dài khơng xác định thành thơng báo mã có độ dài xác định - Mật mã khóa bí mật (DES, IDEA, RC2-4-5, Triple-DES, AES,…): sử dụng khóa cho mã hóa giải mã - Mật mã khóa cơng khai (DSA, RSA,…): sử dụng khóa để mã hóa khóa khác để giải mã Khi A muốn truyền thông với B, thủ tục tiến hành sau: A tạo cặp khóa {KUa, KRa} truyền thông báo cho B gồm KUa tên A (IDA) B tạo khóa bí mật Ks gửi cho A sau mã hóa với khóa cơng khai A A tính tốn DKRa[EKUa[Ks]] để khơi phục lại khóa bí mật Chỉ A có khóa riêng nên giải mã khóa bí mật Chỉ A B biết khóa bí mật Ks Nếu kiểm sốt kênh truyền thơng, đối tượng E dàn xếp truyền thông mà không bị phát hiện, theo hình thức sau đây: A tạo cặp khóa {KUa, KRa} truyền thơng báo cho B gồm có KUa tên A (IDA) E chặn lấy thông báo, tạo cặp {KUe KRe} truyền KUe || IDA cho B B sinh khóa bí mật Ks truyền EKUe[Ks] cho A E chặn lấy thơng báo, biết Ks cách tính DKRe[EKUe[Ks]] E truyền EKUa[Ks] cho A A B E làm giả Ks dùng Ks để trao đổi thông báo Không nhiều thời gian, E can thiệp vào kênh truyền thơng, nghe trộm giải mã tất thơng báo biết Ks - Lược đồ phân phối khóa bí mật đảm bảo tính bí mật xác thực: A sử dụng khóa cơng khai B để mã hóa thơng báo (1) gửi cho B có chứa tên A (IDA) nonce N1 để nhận dạng giao dịch B gửi thông báo (2) cho A Thông báo mã hóa KUa, có chứa N1 A nonce N2 B sinh Do có B giải mã thơng báo (1) nên xuất N1 thông báo (2) đảm bảo A liên lạc với B A trả lại N2, mã hóa khóa cơng khai B để đảm bảo B liên lạc với A A chọn khóa bí mật Ks gửi thông báo (3) M= EKUb[EKRa[Ks]] cho B Việc mã hóa thơng báo với khóa cơng khai B đảm bảo có B đọc Việc mã hóa với khóa riêng A đảm bảo A gửi thơng báo B tính tốn DKUa[EKRb[M]] để khơi phục khóa bí mật 1.4.2 Chữ ký số Chữ ký số liệu để xác định nguồn gốc tính tồn vẹn thơng báo Người gửi sử dụng khóa riêng để ký số thông báo hay tạo chữ ký số cho thông báo gửi Người nhận sử dụng khóa cơng khai người gửi để kiểm tra nguồn gốc thông báo xác định thông báo không bị thay đổi đường truyền Chữ ký số tương tự chữ ký viết tay phải có số tính chất sau: - Có khả kiểm tra chữ ký số thời gian ký số - Có khả xác thực nội dung thời điểm ký số - Thành viên thứ kiểm tra chữ ký số để giải tranh chấp Dựa vào tính chất này, chữ ký số có yêu cầu sau: - Phải mẫu bít phụ thuộc vào thông báo ký số - Phải sử dụng thông tin người gửi để ngăn chặn tình trạng làm giả chối bỏ - Được tạo dễ dàng - Khó làm giả chữ ký số cách tạo thông báo cho chữ ký số có, tạo chữ ký số giả mạo cho thông báo cho trước - Trong thực tế, cần lưu giữ chữ ký số 1.4.3 Phân phối khóa cơng khai Nhiều kỹ thuật phân phối khóa cơng khai đưa khai báo công khai, thư mục cơng khai, trung tâm quản lý khóa cơng khai chứng khóa cơng khai Một giải pháp lựa chọn khác sử dụng chứng khóa cơng khai Các thành viên trao đổi khóa thơng qua chứng khóa cơng khai mà khơng cần liên lạc với quan quản lý khóa cơng khai Khi cần sử dụng khóa cơng khai, thành viên kiểm tra chứng quan quản lý phát hành 1.4.4 Chứng khóa cơng khai Chứng khóa cơng khai gắn kết khóa cơng khai thực thể (con người, thiết bị phần cứng, dịch vụ) với nhiều thuộc tính nhận dạng thực thể, quan chứng thực (Certification Authority - viết tắt CA) phát hành Việc sử dụng khóa cơng khai có chứng hồn tồn đơn giản việc cơng bố quản lý chứng gặp nhiều vấn đề phát hành, hủy bỏ, kiểm tra tình trạng trực tuyến, thư mục lưu trữ, chứng thực chéo Những vấn đề giải thông qua hạ tầng khóa cơng khai 1.4.5 Hạ tầng khóa cơng khai Các thành phần PKI X509 gồm phía nhà cung cấp (cơ quan chứng thực, quan đăng ký, hệ thống quản lý phân phối chứng chỉ) phía người dùng (các ứng dụng PKI) Mơ hình cấp phát chứng khóa cơng khai PKI X509 minh họa hình dây Hình 1.3 Mơ hình cấp phát chứng PKI X509 1.5 MỘT SỐ CƠ SỞ MẬT MÃ PHỤC VỤ AN TỒN THƠNG TIN Lược đồ mã RSA-OAEP 1.5.1 Hàm mã hoá RSAES-OAEP Các lựa chọn: Đầu vào: Đầu ra: Các lỗi: Giả thiết: RSAES-OAEP-ENCRYPT((n, e), M,L) Hash hàm băm (hLen ký hiệu độ dài theo byte đầu hàm băm) MGF hàm sinh mặt nạ (n, e) khoá công khai RSA người nhận (k ký hiệu độ dài theo byte RSA modulo n) M thông báo mã hóa, chuỗi byte có độ dài mLen với mLen  k –2hLen-2 L nhãn tùy chọn liên quan đến thông báo, giá trị mặc định L chuỗi rỗng không cung cấp C mã, chuỗi byte có độ dài k “thơng báo q dài”, “nhãn q dài” Khố cơng khai RSA (n, e) hợp lệ Hình 1.4 Thuật tốn mã hóa EME-OAEP 1.5.2 Hàm giải mã RSAES-OAEP Các lựa chọn: Đầu vào: Đầu ra: Lỗi: RSAES-OAEP-DECRYPT(K, C,L) Hash hàm băm (hLen ký hiệu độ dài theo byte đầu hàm băm MGF hàm sinh mặt nạ K khoá riêng RSA người nhận (k ký hiệu độ dài theo byte RSA-modulo n) C mã cần giải mã, chuỗi byte có độ dài k, với k  2hLen + L nhãn tùy chọn liên quan đến thông báo, giá trị mặc định L chuỗi rỗng không cung cấp M thơng báo, chuỗi byte có độ dài mLen với mLen  k – 2hLen -2 “Lỗi giải mã” 1.5.3 Yêu cầu tham số an toàn cho hệ mật RSA V2 Số mũ công khai e phải chọn với ràng buộc sau: a) Chọn trước tạo số mũ bí mật b) Là số nguyên dương lẻ cho 65537  e < 2nlen-2security_strength V3 Hai số nguyên tố p, q phải chọn với ràng buộc: a) p-1 q-1 phải nguyên tố với e b) Mỗi bốn số p-1, p+1, q-1 q+1 phải có ước nguyên tố lớn 2security_strength+20 c) 2nlen/2-1  p, q  2nlen/2-1 V4 Số mũ bí mật d phải chọn sau tạo p q với ràng buộc: a) d > 2nlen/2 b) d  e-1 (mod lcm(p-1,q-1)) 1.6 Thuật toán mã khối AES 1.6.1 Giới thiệu thuật toán AES AES thuật tốn hướng byte Đơn vị thơng tin xử lý thuật toán byte Chúng xem phần tử trường Galois GF(28) với phép  phép nhân  Mỗi byte biểu diễn theo nhiều cách khác Ở dạng nhị phân {b7 b6 b5 b4 b3 b x i i b2 b1 b0}, dạng hệ số 16 { h1 h0}, dạng đa thức có hệ số nhị phân i 0 Ví dụ, byte biểu diễn dạng nhị phân {01100011}, dạng đa thức: x  x  x  dạng hexa {63}  Phép cộng GF(28) sau: {a 7a 6a 5a 4a 3a 2a1a 0} {b7 b6b5b4b3b2b1b0}={c7c6c5c4c3c2c1c0} với ci   bi ,  i   Phép nhân GF(28) sau: a( x)  b( x)  a( x)  b( x) mod( x8  x  x3  x  1) 1.6.2 Cấu trúc bên AES Số lượng vịng phụ thuộc vào kích cỡ khóa chọn, ví dụ kích cỡ khóa 128 bit-10 vịng, 192 bit-12 vịng, 256 bit – 14 vòng Mỗi vòng gồm nhiều tầng khác Các tầng cho q trình mã hóa giải mã sau: * Mã hóa Tầng thay byte (ByteSub) Tầng thay byte gồm 16 S-box có tính chất sau: Các S-box giống hệt Là thành phần phi tuyến AES, nghĩa là: ByteSub(Si) + ByteSub(Sj)≠ByteSub(Si+Sj), i, j S-box AES xây dựng dựa ánh xạ nghịch đảo trường GF(28) Trong cài đặt phần mềm, S-box thường thực bảng tra Lược đồ tạo khóa (Keyschedule) Các khóa tính cách đệ quy từ 128/192/256 bit khóa gốc đầu vào Mỗi vịng mã hóa/giải mã, sử dụng khóa cộng với khóa phần bắt đầu thuật tốn AES Như vậy, số khóa con=số vịng +1 Tương ứng với kích cỡ khóa đầu vào có lược đồ khóa Với khóa 128 bit có số khóa 11, khóa 192 bit có số khóa 13 khóa 256 bit có số khóa 15 * Giải mã AES không dựa vào cấu trúc Feistel nên biến đổi phải thực ngược giải mã Với biến đổi MixColumn có InvMixColumns cho trình giải mã, với biến đổi ShiftRows, với ByteSub có InvByteSub Tầng cộng khóa phải thực với khóa có thứ tự ngược lại InvMixColumns: sử dụng đa thức d ( x)  {0b}x  {0d}x  {09}x  {0e} InvShiftRows: tất hàng ma trận trạng thái dịch vòng theo hướng ngược lại InvByteSub: Vì S-box song ánh nên xây dựng ánh xạ ngược cho Ai=S-1(Bj) Ánh xạ dùng giải mã Nó thường lưu trữ dạng bảng tra Lược đồ khóa cho giải mã: Mọi khóa phải sử dụng theo thứ tự ngược lại Trong thực tế, mã hóa giải mã, sử dụng lược đồ khóa Điều dẫn đến việc phải tính tốn khóa trước mã hóa khối 1.6.3 Một số yêu cầu đảm bảo an toàn ứng dụng mã khối AES Hệ mã khối AES có vai trị quan trọng sử dụng nhiều hệ thống an toàn bảo mật Tuy nhiên, ta cần tuân thủ số yêu cầu cài đặt hiệu chọn lựa chế độ làm việc cho AES nhằm đảm bảo an toàn ứng dụng Yêu cầu cài đặt hiệu AES thực tế: Cách cài đặt trực tiếp cách tốt vi xử lý 8-bit, không hiệu với vi xử lý 32-bit 64-bit Đối với vi xử lý (hoặc thiết bị có tài nguyên nhỏ), việc cài đặt tối ưu cần ý vấn đề sau: - S-box: lưu bảng tra đơn (1 S-box bit) tính tốn qua phép tính số học GF(28) - Biến đổi MixColumns: tính phép nhân phần tử với số 0x09, 0x03, 0x0b, 0x0d, 0x0e tính thơng qua phép nhân với số 0x02, 0x01 Cụ thể: a.0x03 a.0x09 = (0x02.a) +(0x01.a) = (0x02.a) ^ a = (((a.0x02).0x02).0x02) + (0x01.a)= (((a.0x02).0x02).0x02)^a a.0x0b = (((a.0x02).0x02).0x02) + (a.0x02) + (a.0x01) = (((a.0x02).0x02).0x02) ^ (a.0x02) ^ a Lựa chọn chế độ làm việc cho AES: Mỗi chế độ làm việc mã khối có ưu nhược điểm riêng, cần tìm hiểu lựa chọn áp dụng Chương-2 2.1 GIẢI PHÁP XÁC THỰC VÀ BẢO MẬT Giới thiệu giải pháp Hiện có nhiều cơng cụ (phần mềm, giải pháp) hỗ trợ người dùng việc xác thực mã hố thơng tin Tuy nhiên công cụ chủ yếu cung cấp từ nhà cung cấp chữ ký số phần mềm miễn phí dùng để cài đặt máy PC người dùng để sử dụng cho ứng dụng cài đặt máy Việc tích hợp với ứng dụng khác, đặc biệt ứng dụng web chưa trọng Giải pháp xác thực tài liệu môi trường mạng: Là việc xây dựng phần mềm xác thực (ký số) tài liệu trao đổi văn môi trường mạng Giải pháp xây dựng cho phép tích hợp chức gửi nhận tài liệu ứng dụng web việc sử dụng chứng số cho máy chủ chứng số tổ chức, cá nhân tham gia vào hệ thống 2.2 Sơ đồ kiến trúc giải pháp xác thực tài liệu môi trường mạng Từ nghiên cứu chương hiểm họa ứng dụng web, đặc biệt ứng dụng hoạt động quan nhà nước cần coi trọng đảm bảo tính xác thực, tồn vẹn cho tài liệu (văn bản) trao đổi qua mạng Hình 2.1 mơ tả q trình xác thực tài liệu truyền nhận máy chủ máy trạm Hình 2.1 Mơ hình xác thực tài liệu môi trường mạng Các thành phần sơ đồ: a) Thiết bị eToKen: Là thiết bị sử dụng để lưu trữ khóa riêng chứng số người dùng, sử dụng xác thực người dùng, ký số tài liệu điện tử, mã hóa tài liệu điện tử Hình 2.2 a b a) Thiết bị eToKen b) Thành phần eToKen Hình 2.2 Thiết bị eToKen thành phần eToKen Trong hình b: Dữ liệu: Là liệu tạo ứng dụng người dùng Chứng chỉ: Lưu trữ chứng số cấp tổ chức cấp chứng cho người dùng Khóa: Bao gồm khóa cơng khai (public key), khóa riêng (private key) khóa bảo vệ (secret key) b) Ứng dụng phía máy trạm bao gồm: Là giao diện tích hợp chức có u cầu ký số xác thực ứng dụng c) Thư viên mật mã: Cung cấp lớp, phương thức cho phép tương tác với modul tích hợp trình duyệt để thực thi chức theo yêu cầu chương trình d) Chứng số cho máy chủ Sử dụng chứng SSL, nhằm đảm bảo thông tin kênh truyền cho ứng dụng web Khi liệu trao đổi người dùng website mã hóa (ở phía người gửi) giải mã (ở phía người nhận) chế SSL mạnh mẽ Nếu website không sử dụng chứng số SSL, liệu nhập vào website từ người dùng truyền nguyên Internet Khi đó, nguy liệu bị xâm nhập trình trao đổi liệu người dùng website cao e) Các Dịch vụ phía máy chủ Thực xác thực tài liệu; dịch vụ Upload tài liệu cho phép máy trạm thực tải tải liệu ký số mã hóa lên server phục vụ cho trình phân phối tài liệu ứng dụng (mạng văn phịng điện tử liên thơng) 2.3 Phân tích thiết kế giải pháp 2.3.1 Các chức cần thiết cho yêu cầu phần mềm xác thực Tên chức STT Chức máy trạm 1.1 Cung cấp giao diện cho người dùng Mô tả chi tiết Để tạo giao diện tích hợp với ứng dụng cho phép người dùng thực thao tác cần thiết 1.2 Ghép nối với thư viện mật mã Ghép nối với thư viện mật mã để thực ký số, mã hóa theo u cầu chương trình 1.3 Ghép nối với thiết bị eToKen Ghép nối với thiết bị eToKen có yêu cầu khóa chứng lưu trữ eToKen Chức máy chủ 2.1 Tạo giao diện giao tiếp với máy trạm Tạo giao diện để tải tài liệu trước xử lý 2.2 Kiểm tra, xác thực tài liệu Kiểm tra tính đắn tài liệu gửi chứng người gửi 2.3 Thực Upload tài liệu lên máy Upload tài liệu lên thư mục CSDL chủ máy chủ Thư viện mật mã 3.1 Các phương thức đọc eToKen Các phương thức đọc eToKen 3.2 Các phương thức ký số Các phương thức ký số 3.3 Các phương thức mã hóa Các phương thức mã hóa 2.3.2 Lựa chọn ngơn ngữ lập trình công cụ thiết kế ứng dụng - Visual Studio 2010 và.NET Framework Visual Studio cơng cụ hồn chỉnh cho phép xây dựng, triển khai ứng dụng cho máy để bàn lẫn ứng dụng web Visual Studio hỗ trợ nhiều ngơn ngữ lập trình từ C, C++, C#, C#.net, VB ; với Visual Studio 2010 Ultimate SP1 hỗ trợ.NET Framework Siverlight cần thiết để xây dựng ứng dụng giải pháp Trên sở mơ hình xác thực bảo mật giới thiệu mục 2.2, việc phân tích thiết kế phần mềm cần thực nội dung sau: - Phân tích thiết kế thư viện mật mã cài đặt phía máy trạm sử dụng máy chủ; - Phân tích thiết kế dịch vụ phía máy chủ - Thiết kế công cụ ký số web 2.3.2.1 Thư viện mật mã Thư viện mật mã mơ hình xây dựng sở tiêu chuẩn bắt buộc áp dụng chữ ký số dịch vụ chứng thực chữ ký số quy định Quyết định sô: 59/2008/QĐBTTTT ngày 31/12/2008 Bộ Thông tin Truyền thơng tiêu chuẩn an tồn thông tin theo quy định Thông tư số 01/2011/TT-BTTTT ngày 04/01/2011 Bộ trưởng Bộ Thông tin Truyền thông Thư viện mật mã bao gồm hàm, thủ tục cho phép giao tiếp với thiết bị eToken hàm, thủ tục ký số, xác thực văn hình Hình 2.3 đây: Hình 2.3 Lược đồ ký số văn 2.3.2.2 Dịch vụ phía máy chủ Để nâng cao tính an tồn thơng tin, mơ hình xác thực bảo mật tài liệu thiết kế theo mơ hình client- server mơi trường web, q trình ký số mã hóa thực thi máy trạm (client), máy chủ (server) làm nhiệm vụ cung cấp giao diện trình duyệt đẩy liểu lên server Thiết kế dịch vụ phía server sau: Dịch vụ WebService với phương thức Upload cho phép ứng dụng sử dụng để đưa liệu file lên máy chủ cách an tồn Thuật tốn mô tả sau: - Đầu vào: tệp liệu từ máy trạm chọn - Đầu ra: đường dẫn tệp liệu máy chủ - Các bước thực hiện: B1) Đọc liệu từ tệp liệu từ máy trạm chọn B2) Thử Ghi liệu vào biến writer (BinaryWriter) đẩy lên máy chủ B3) Nếu q trình B2 thành cơng trả đường dẫn tệp liệu máy chủ, không trả đường dẫn rỗng 2.3.3 Cơng cụ ký số web Việc thiết kế công cụ ký số đảm bảo yêu cầu sau: - Cho phép người dùng lựa chọn văn để ký (văn định dạng.pdf) - Khi thực lệnh ký số cho văn ứng dụng tự động giao tiếp với thiết bị eToken thư viện mật mã cài đặt máy trạm để thực ký văn - Kết trả tệp văn ký tự động đẩy lên máy chủ - Thông báo cho người dùng kết thực Mô tả chương trình: Đầu vào: - Tệp văn cần ký - Thiết bị eToken - Thao tác, lệnh từ người dùng Đầu ra: - Tệp văn ký - Đẩy tệp văn ký lên máy chủ - Thông báo cho người dùng kết thực Các bước: B1 Kiểm tra độ tin cậy (ứng dụng phải tin cậy với trình duyệt cách sử dụng chứng để ký cho ứng dụng cài đặt máy trạm Nếu khơng tin cậy cho thơng báo kết thúc B2 Cho phép người dùng duyệt tệp văn bản, tệp văn khơng dúng định dạng yêu cầu duyệt lại tệp văn B3 - Kiểm tra thiết bị eToken, hợp lệ (đã kết nối nhập mã PIN) thực ký tệp văn - Đẩy tệp văn ký lên máy chủ - Thơng báo ký thành cơng Trong tệp “KySo.xap” tệp biên dịch từ ứng dụng Siverlight để cung cấp giao diện ký số cho ứng dụng web b) Cài đặt thư viện máy trạm Để ứng dụng Siverlight hoạt động máy trạm cần thực yêu cầu sau: - Cài đặt thư viện mã hóa (cung cấp hàm xây dựng); Bước 1: Mở tệp setup.exe thư mục cài đặt để tiến hành cài đặt thư viện cho ứng dụng Nhấn Next để thực bước Bước 2: Chọn thư mục chứa chương trình Folder cần thay đổi thư mục chứa chương trình Nhấn Next để thực bước Bước 3: Nhấn Close để đóng lại kết thúc cài đặt - Cài đặt chứng thư số máy trạm: Chứng thư chứng thư ký cho giao diện trình duyệt để đảm bảo tính tin cậy trình duyệt máy chủ; - Cài đặt trình điều khiển (Driver) cho thiết bị eTocken (thiết bị lưu chứng thư số) 2.4 Kết giải pháp xác thực bảo mật tài liệu Sau nghiên cứu thành công sản phẩm giải pháp này, sản phẩm cài đặt sử dụng hệ thống mạng văn phòng điện tử liên thơng tỉnh Thái Bình để thực việc ký số trực đầu mối văn thư quan tỉnh Thái Bình Như hình đây: Hình 2.4 Giao diện gửi văn tích hợp chức ký số sản phẩm ký số văn điện tử KẾT LUẬN Để nghiên cứu giải pháp xác thực bảo mật tài liệu trao đổi văn môi trường mạng quan nhà nước, luận văn tập trung nghiên cứu vấn đề sau: Nghiên cứu, tìm hiểu số khái niệm an tồn thơng tin, đánh giá thực trạng nhu cầu an tồn thơng tin quan nhà nước Để xây dựng giải pháp đáp ứng yêu cầu thực tế, luận văn tập trung tổng hợp, phân tích số sở mật mã cần thiết để áp dụng việc bảo mật thông tin môi trường mạng theo tiêu chuẩn nhà nước quy định (đối với mã hoá phi đối xứng chữ ký số, áp dụng lược đồ RSA-OAEP theo chuẩn PKCS#1 phiên 2.1; mã hóa đối xứng áp dụng thuật tốn mã khối AES) Trên sở nghiên cứu mặt lý thuyết, luận văn tập trung nghiên cứu, xây dựng giải pháp xác thực tài liệu trao đổi văn môi trường mạng quan nhà nước Trong thời gian tới, tác giả tiếp tục nghiên cứu mở rộng tính xác thực đăng nhập, mã hóa liệu trao đổi tài liệu cho ứng dụng Với thời gian trình độ cịn hạn chế, luận văn không tránh khỏi sơ suất Rất mong nhận đóng góp ý kiến Thầy Cơ để luận văn hồn thiện References Tiếng Việt [1] Phan Đình Diệu, Lý thuyết mật mã an tồn thơng tin, Đại học Quốc gia Hà Nội, 1999 [2] TCVN 7635:2007, Chữ ký số, Kỹ thuật Mật mã, 2007 [3] Quyết định Số: 59/2008/QĐ-BTTTT ngày 31 tháng 12 năm 2008 Bộ trưởng Bộ Thông tin Truyền thông Ban hành Danh mục tiêu chuẩn bắt buộc áp dụng chữ ký số dịch vụ chứng thực chữ ký số [4] Nghị định số 64/2007/NĐ-CP ngày 10-04-2007 Chính phủ ứng dụng công nghệ thông tin hoạt động quan nhà nước Tiếng Anh [5] Microsoft, Building Secure ASP.NET Applications, Patterns & practices [6] Microsoft, Introduction to Web Applications Security, Patterns & practices [7] NIST (26/10/2001) Advanced Encryption Standard (AES), FIPS 197 [8] RSA Laboratories (14/6/2002) RSA Cryptography Standard PKCS #1 V2.1 [9] William Stallings, Cryptography and Network Security: Principles and Practices, Fourth Edition, Prentice Hall, 2006 [10] Bruno Lowagie, Digital Signatures for PDF documents, 17 Sep 2012 Tài liệu Internet: [11] http://wp.nestcape.com/eng/ssl3 [12] http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf [13] ftp://ftp.rsasecurity.com/pub/pkcs/pkcs-1/pkcs-1v2-1.pdf ... nghiên cứu, tìm hiểu thực trạng nhu cầu an tồn thơng tin quan nhà nước; tiêu chuẩn, sở mật mã, giải pháp cơng nghệ; sở nghiên cứu giải pháp xác thực bảo mật trao đổi tài liệu môi trường mạng Phương... đích nghiên cứu Luận văn nghiên cứu giải pháp xác thực bảo mật tài liệu trao đổi văn môi trường mạng quan nhà nước ứng dụng thành công tỉnh Thái Bình Đối tượng phạm vi nghiên cứu Tập trung nghiên. .. trọng Giải pháp xác thực tài liệu môi trường mạng: Là việc xây dựng phần mềm xác thực (ký số) tài liệu trao đổi văn môi trường mạng Giải pháp xây dựng cho phép tích hợp chức gửi nhận tài liệu